제조업이 직면한 보안 위협 8가지

디지털 트랜스포메이션 속도, 복잡한 공급망, 서드파티 업체에 대한 의존도 등은 제조업계의 CISO가 대응하기 까다로운 사이버 위협 환경을 조성한다. 국가에서 후원하는 악의적 공격자와 랜섬웨어 조직의 주요 표적이 되는 경우도 있다.

제조업계는 네트워크 인프라를 현대화하면서 비용 효율적인 운영을 유지해야 하는 어려운 과제에 직면해 있다.

관리형 보안 서비스 업체 놈사이버(NormCyber) CTO 폴 크래그는 “많은 제조 시스템이 최신 보안 조치가 없는 구식 기술에 의존하고 있어 악용 가능한 취약점이 발생하고 있다”라며 “산업용 사물 인터넷 기기 통합으로 인해 공격 표면이 확대되면서 이러한 문제는 더욱 악화되고 있다”라고 말했다.

예를 들어, 많은 제조업체에서 아직도 보안 패치가 없는 임베디드 윈도우 XP 등 구식 소프트웨어를 실행하는 오래된 산업 제어 시스템(ICS)을 운영하고 있다. 또한 IoT, IIoT, 운영 기술(OT), SCADA 시스템은 보안보다는 운영을 위해 설계되었기 때문에 공급업체의 지원이 제대로 이루어지지 않는 경우가 많다.

외부 또는 인터넷에 노출된 자산에 대한 인식 부족도 제조업체가 직면한 문제다. 잘못된 패치 적용 관행과 잘못된 구성 역시 제조 CISO에게 드물지 않게 발생한다.

센서 소프트웨어 업체 헥사곤(Hexagon) OT/ICS 사이버 보안 전략 및 지원 글로벌 이사 시에드베럴은 사이버 보안 성숙도에 있어 업계 전반에 걸쳐 상당한 격차가 있다고 말했다.

베럴은 “화학이나 반도체와 같은 산업은 사이버보안 성숙도가 상대적으로 높은 반면, 식음료나 섬유와 같은 다른 산업은 상당히 뒤처져 있다”라며, “선진 산업 분야 내에서도 조직 간에 일관성 없는 상황이 지속되고 있다”라고 말했다.

복잡한 로봇 공학 및 자동화 구성 요소를 포함하는 운영 기술 시스템은 일반적으로 IT 네트워크 구성 요소보다 훨씬 더 느리게 교체되기 때문에 많은 제조업체가 보안 부채를 떠안고 있다.

그는 “최신 사이버보안 위협이 등장하기 전에 설계된 레거시 시스템에는 암호화나 액세스 제어와 같은 기본적인 보호 기능이 부족한 경우가 많다. 이러한 취약점 때문에 패치 관리가 복잡해지고 주요 장비가 공격 표적이 되는 것이다”라고 말했다. 제조업이 직면한 위협에 대해 전문가들의 언급한 내용을 살펴본다.

1. 랜섬웨어 공격

랜섬웨어는 오늘날 산업 부문이 직면한 가장 심각한 위협이다. 사이버 범죄자는 이중, 삼중 갈취 같은 고급 기술을 사용해 민감한 데이터의 일부가 유출될 수 있다는 위협을 가하고 있다.

액티브 디렉토리 보안 업체 셈프리스(Semperis)의 연구에 따르면 지난 12개월 동안 제조 및 유틸리티 기업 5곳 중 4곳 이상(83%)이 랜섬웨어 공격의 표적이 된 것으로 나타났다.

대다수(77%)가 여러 번, 심지어 4회 이상 공격을 받은 기업도 있었다. 또한 셈프리스는 산업 부문의 랜섬웨어 공격 대상 중 26%가 시스템을 오프라인 상태로 만들어 비즈니스 중단을 초래했으며, 17%는 일시적으로 사업을 폐쇄해야 했다고 보고했다.

또한 셈퍼리스의 연구에 따르면 피해 업체의 68%가 몸값을 지불했으며, 이 중 2/3은 심지어 여러 번 몸값을 지불한 것으로 나타났다.

사이퍼마 리서치(Cyfirma Research)에서 추적한 62개의 랜섬웨어 그룹 중에서는 39개(63%)가 제조 부문을 표적으로 삼았다. 사이퍼마에 따르면 블랙수트, 야옹, 플레이와 같은 랜섬웨어 그룹이 제조 부문을 집중적으로 공격했으며, 랜섬허브도 제조업체를 공격하는 데 적극적이었다.

네트워크 검색과 자산 인벤토리 공급업체 런제로(RunZero)의 COO 줄리 올브라이트는 “공격자는 공장이나 공장이 오랫동안 다운될 수 없다는 것을 알기 때문에 다른 공격 대상보다 2~4배의 몸값을 부른다. 제조업이 특히 큰 타격을 받는 이유”라고 설명했다.

2. 산업 제어 시스템 공격

특히 IT와 OT 네트워크의 통합을 고려할 때 산업 제어 시스템 공격은 더 큰 우려를 자아낸다.

통신 서비스 업체 GCX의 제품 및 운영 디렉터 조나단 라이트는 “이렇게 상호 연결된 네트워크는 사이버 범죄자와 내부자 위협에 더 많은 진입 지점을 제공한다.”라고 말했다. “위협 행위자가 하나의 기기 또는 네트워크 세그먼트에 액세스하면 연결된 시스템을 악용해 공격을 확대할 수 있다.”

IT와 OT가 융합되면 공격 표면이 확장되어 ICS 환경이 국가적 행위자와 지능형 지속적 위협에 더욱 취약해진다.

분산형 클라우드 파일 스토리지 업체 크레타(Ctera) CTO 아론 브랜드는 “공격자는 PLC, SCADA 시스템, HMI(인간-기계 인터페이스)의 취약점을 악용해 중요 인프라에 심각한 장애를 일으키고 공공 안전을 위협할 수 있다”라고 경고했다. 또한 “제로 트러스트 아키텍처와 강력한 네트워크 세분화는 이러한 환경 내에서 측면 이동을 제한하는 데 필수적이며, AI 기반 위협 탐지는 악의적인 활동을 신속하게 식별하고 대응하는 데 도움이 될 것”이라고 말했다.     

서드파티 서비스 및 지원 파트너가 관리하는 ICS의 펌웨어 업데이트를 위해 자신의 노트북과 이동식 미디어를 가지고 산업 현장을 방문하는 것도 제조업의 위험이다.

사이버보안 공급업체 OPSWAT의 국제 수석 부사장 제임스 닐슨은 “USB 드라이브 같은 미디어에 호스팅된 멀웨어는 기존의 네트워크 기반 보안 조치를 우회하고 IT 시스템과 OT 시스템 사이를 횡이동할 수 있다. IT 멀웨어를 탐지하도록 설계되지 않은 환경이기 때문에 이동식 미디어를 통해 손상될 경우 매우 취약하다”라고 지적했다.

3. 공급망 위험

제조 공급망은 여러 공급업체와 서드파티 업체가 생산 공정에 기여하는 등 상호 연결성이 매우 높다.

아르미스(Armis) OT 부문 CTO인 카를로스 부에나노는 “공격자는 점점 더 이러한 관계를 악용해 공급망 공격을 시작하고 있으며, OT 시스템에 침투하기 위해 약한 연결 고리를 노리고 있다. 일단 내부에 침투하면 생산 지연을 일으키거나 제품 품질을 조작하거나 지적 재산을 훔칠 수 있다”라고 지적했다.

중요한 소프트웨어 플랫폼의 보안 취약성, 공급업체 지원 연결로 인한 손상, 업스트림 공격을 통해 손상된 공급업체 소프트웨어 또는 하드웨어 구성 요소 등 다양한 문제로 인해 문제가 발생할 수 있다.

사이퍼마에 따르면 2024년 8월과 11월 사이에만 제조와 관련된 높은 점수를 받은 취약점이 174개 발견되었으며, 이 중 4개는 즉각적인 주의가 필요한 익스플로잇으로 알려졌다.

공급망 공격으로부터 보호하려면 자체 시스템을 보호하는 것뿐만 아니라 공급망 내의 모든 파트너의 보안을 보장해야 한다. 아르미스의 부에나노는 “여기에는 공급업체 위험 평가를 수행하고 사이버보안에 대한 강력한 계약 요건을 구현하는 것이 포함될 수 있다”라고 했다.

오픈소스 코드에 대한 의존도가 높은 소프트웨어 공급망은 산업 부문 조직에 잠재적인 보안 골칫거리이기도 한다.

블랙덕의 수석 보안 컨설턴트 아디티 굽타는 “2024 오픈소스 보안 및 위험 분석 보고서에 따르면 제조 및 로봇 산업 내 모든 소스 코드의 88%가 오픈소스다. OSS에 대한 의존도가 높기 때문에 라이선스 비용, 운영 위험 및 보안 취약성과 관련된 문제가 발생한다”라고 말했다.

공급업체나 물류 허브에 대한 공격 같은 간접적 위험도 제조 운영을 방해할 수 있다. 예를 들어, 2022년 2월 일본 자동차 제조업체 도요타의 공급업체인 고지마 산업을 겨냥한 사이버 공격이 발생하자, 도요타는 14개 조립 공장의 생산을 중단했다.

4. IoT 취약점

산업 환경에서 IoT 기기가 확산되면서 제조업체의 공격 표면이 크게 확대되었다.

이들 기기는 강력한 보안 조치 없이 배포되는 경우가 많아 사이버 범죄자가 핵심 OT 시스템에 접근하는 진입점으로 작용할 수 있다. 예를 들어, 전력망의 스마트 계량기와 같은 IoT 센서가 손상되면 모니터링 및 제어 기능이 중단되어 대규모 정전 사태로 이어질 수 있다.

보다폰 비즈니스 보안 강화 담당 이사인 스티브 닙스는 “제조 분야에 스마트 기술을 도입하는 기업이 늘어나면서 사이버 범죄자에게 새로운 진입 지점이 열리고 있다”라고 말했다. 기본 사용자 이름과 비밀번호가 제공되거나 강력한 암호화가 없는 IoT 기기는 민감한 데이터에 액세스하고 운영을 방해하거나 생산 프로세스를 변조하는 데 악용될 수 있다는 것이다.

제조업체는 정기적으로 소프트웨어를 업데이트해 취약점을 수정하고, 엄격한 액세스 제어를 적용하고, 강력하고 고유한 비밀번호와 다단계 인증을 여러 환경에서 사용하도록 해야 한다. 또한 네트워크를 세분화해 IoT 기기를 중요한 시스템과 분리하는 동시에 실시간 모니터링을 통해 위협을 포착해야 한다.

5. 피싱

앱노멀 시큐리티(Abnormal Security)의 연구에 따르면 2023년 9월과 2024년 9월 사이에 제조 산업에 대한 피싱 공격이 80% 이상 증가했다.

제조업체를 대상으로 한 비즈니스 이메일 침해 공격도 전년 대비 56% 증가했다.

2023년 9월과 2024년 9월 사이에 제조업체에 대한 공급업체 이메일 침해(VEC) 공격 건수는 24% 증가했다.

하지만 피싱은 산업 전반에 걸친 문제이며, 여러 다른 보고서와 전문가의 의견에 따르면 제조업은 다른 산업에 비해 피싱에 덜 노출되어 있다고 한다.

사이퍼마 보고서는 “제조업은 낮은 수익 창출 가치, 제한된 고가치 데이터, 최소한의 PII 저장소로 인해 광범위한 피싱 캠페인의 시각에서는 매력이 덜한 분야”라고 기술했다.

6. 규제 압력

자동차 및 전자제품 같은 제조 하위 부문은 자동화와 디지털화 의존도가 높다. EU도 사이버보안 규제를 더욱 엄격하게 적용하고 있다.

헥사곤의 베럴은 “EU의 NIS2 지침 같은 규제 프레임워크는 이제 컴퓨터, 전자, 기계, 자동차, 운송 등 특정 제조 분야를 강화된 사이버보안 요건이 적용되는 중요 부문으로 지정했다”라고 말했다.

7. APT 캠페인

지난 한 해 동안 사이퍼마가 관찰한 APT 캠페인 13건 중 69%에 달하는 9건이 제조 부문을 표적으로 삼았으며, 9월에 정점을 찍은 이후 지속적인 활동을 보였다.

이러한 공격을 실행한 주요 위협 행위자로는 중국 그룹, 러시아 그룹(FIN7, 가마레돈), 파키스탄 APT36, 이란 폭스 키튼, 북한 라자루스 그룹 등이 있다. 공격은 미국, 영국, 일본, 대만, 인도 등 제조 경제가 중요한 15개 국가에 영향을 미쳤으며 베트남에서 활동이 증가했다.

8. 디도스 공격

넷스카우트의 1H24 DDoS 위협 인텔리전스 보고서에 따르면 오늘날 제조업과 건설업 같은 분야는 DDoS 공격의 주요 표적이 되고 있다. 넷스카우트의 위협 인텔리전스 책임자인 리차드 험멜은 “경제에 중요한 기여를 하고, 다운타임에 대한 내성이 적으며 디지털 환경이 복잡한 이유로 제조와 기타 관련 분야가 위협 행위자에게 매우 매력적인 표적”이라고 설명했다.
[email protected]